JDBC使用PreparedStatement更好

最新推荐文章于 2025-06-30 18:15:59 发布
转载 最新推荐文章于 2025-06-30 18:15:59 发布 · 285 阅读 · 0

本文详细解析了PreparedStatement在数据库查询中的优势,包括提升性能、防止SQL注入和动态参数化查询。同时介绍了其局限性和正确使用方法。

PreparedStatement可以写动态参数化的查询
用PreparedStatement你可以写带参数的sql查询语句,通过使用相同的sql语句和不同的参数值来做查询比创建一个不同的查询语句要好,下面是一个参数化查询:
1
SELECT interest_rate FROM loan WHERE loan_type=?
现在你可以使用任何一种loan类型如:”personal loan”,”home loan” 或者”gold loan”来查询,这个例子叫做参数化查询,因为它可以用不同的参数调用它,这里的”?”就是参数的占位符。
2.PreparedStatement比 Statement 更快
3.PreparedStatement可以防止SQL注入式攻击(注入攻击自己百度)

PreparedStatement的局限性
尽管PreparedStatement非常实用,但是它仍有一定的限制。

  1. 为了防止SQL注入攻击,PreparedStatement不允许一个占位符(?)有多个值,在执行有IN子句查询的时候这个问题变得棘手起来。

总结:
关于PreparedStatement接口,需要重点记住的是:

  1. PreparedStatement可以写参数化查询,比Statement能获得更好的性能。
  2. 对于PreparedStatement来说,数据库可以使用已经编译过及定义好的执行计划,这种预处理语句查询比普通的查询运行速度更快。
  3. PreparedStatement可以阻止常见的SQL注入式攻击。
  4. PreparedStatement可以写动态查询语句
  5. PreparedStatement与java.sql.Connection对象是关联的,一旦你关闭了connection,PreparedStatement也没法使用了。
  6. “?” 叫做占位符。
  7. PreparedStatement查询默认返回FORWARD_ONLY的ResultSet,你只能往一个方向移动结果集的游标。当然你还可以设定为其他类型的值如:”CONCUR_READ_ONLY”。
  8. 不支持预编译SQL查询的JDBC驱动,在调用connection.prepareStatement(sql)的时候,它不会把SQL查询语句发送给数据库做预处理,而是等到执行查询动作的时候(调用executeQuery()方法时)才把查询语句发送个数据库,这种情况和使用Statement是一样的。
  9. 占位符的索引位置从1开始而不是0,如果填入0会导致java.sql.SQLException invalid column index异常。所以如果PreparedStatement有两个占位符,那么第一个参数的索引时1,第二个参数的索引是2.

以上就是为什么要使用PreparedStatement的全部理由,不过你仍然可以使用Statement对象用来做做测试。但是在生产环境下你一定要考虑使用 PreparedStatement 。

JDBCPreparedStatement的理解
gao_zhennan的博客
06-11 8413
前言:怀着疑惑和痛苦的心情写下这篇文章,其中疑惑之一是预编译对象,会把编译之后的整个语句保存在对象中,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库中的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
JDBC的学习(第四节:使用PreparedStatement接口实现增、删、改的操作)
qq_43918130的博客
08-14 1236
斤斤计较
JDBC教程之PreparedStatement
weixin_34236497的博客
10-13 210
JDBC教程之PreparedStatement csdn 2004-9-14 18:10:00 文/键者天行   概述   该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:  PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatemen...
JDBCPreparedStatement
刘顺顺的博客
10-11 744
文章目录JDBCPreparedStatement是什么?相对于Statement,PreparedStatement的优点是什么? JDBCPreparedStatement是什么? PreparedStatement对象代表的是一个预编译的SQL语句。 用它提供的setter方法可以传入查询的变量。由于 PreparedStatement是预编译的,通过它可以将对应的SQL语句高效的执行多次。 由于PreparedStatement自动对特殊字符转义,避免了SQL注入攻击,因此应当尽量的使用它。 相
PreparedStatement详解
最新发布
empti_
06-30 1066
PreparedStatementJDBC 中用于执行预编译 SQL 语句的接口,它继承自 Statement 接口,提供了更安全、更高效的 SQL 执行方式。
JDBC-PreparedStatement
m0_74386799的博客
11-09 558
在前面使用的Statement中,编写sql语句使用的是拼接的形式,这样不仅可读性差,还非常容易导致出错,最大的问题是安全问题。
JDBC PreparedStatement
Sue12347的博客
05-29 271
为什么使用PreaparedStatement:1.使用statement需要通过字符串,拼写出对应的数据库命令2. 使用PreparedStatement可以有效防止sql注入,sql注入攻击是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法,对于Java而言,只要使用PreparedStatement取代...
JDBCPreparedStatement类中预编译的综合应用解析
09-05
总的来说,PreparedStatementJDBC中扮演着重要角色,尤其是在处理动态SQL和性能敏感的应用场景下,它提供了更高的效率和更好的安全性。开发者应根据实际需求合理选择使用Statement还是PreparedStatement,以优化...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
性能JDBC PreparedStatement和连接池PreparedStatement Cache学习记录
03-29
以Oracle数据库为例,它同样支持预编译的`PreparedStatement`,并且在处理大量重复的SQL语句时,能展现出更好性能。Oracle还提供了游标(Cursor)缓存来存储预编译的SQL语句,当相同SQL再次执行时,可以直接使用...
JDBCPreparedStatement
weixin_37590761的博客
01-14 261
why: 1.1 使用 Statement 需要进行拼写 SQL 语句 . 很辛苦 . 而且容易出错 . 1.2 使用 Statement 可能会发生 SQL 注入 SQL注入:SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法对于 Java 而言,要防范 SQL 注入,只要用Prep...
jdbcPreparedStatement
YRZsir的博客
11-26 335
package jdbc; import java.sql.*; public class PreparedStatementDemo { public static void main(String[] args) throws SQLException{ // 在test1中,SQL语句的执行是通过Statement对象实现的。Statement对象每次执行SQL语句时,都会对其进行编译...
JDBC PreparedStatement Statement
dimei8552的博客
01-26 174
参考:预编译语句(Prepared Statements)介绍,以MySQL为例 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为...
JDBCPreparedStatement
又言又语
03-19 387
JDBCPreparedStatement
jdbcPreparedStatement
ljinshuo的博客
02-21 178
1>PreparedStatement 它是statement的子接口 它的优点: 防SQL攻击 提高代码的可读性、可维护性; 提高效率! 学习PreparedStatement用法: 如何得到PreparedStatement的用法 给出SQL模板 调用Connection的PreparedStatement prepareStatement(String sql模板); 调用pstmt...
JDBCPreparedStatement
一个很懒的人
01-28 355
1.SQL注入问题 1.什么是SQL注入问题? 用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。 2.如何避免SQL注入 由于编写的SQL语句是在用户输入数据,整合后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。 2.PreparedStatement PreparedStatement继承了Statement接口,执行SQ.
JDBC中的PreparedStatement
weixin_40273144的博客
04-21 376
使用Statement需要进行拼写SQL语句,很麻烦而且容易出错,这就用到了PreparedStatementPreparedStatement是Statement的子接口,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法。 1.使用PreparedStatement 1.1 创建PreparedStatement; String sql="INSERT INTO EXAMS...
JDBCPreparedStatement
qq_37400096的博客
11-22 389
import org.junit.Test; import com.mysql.jdbc.Connection; import com.mysql.jdbc.PreparedStatement; import com.mysql.jdbc.ResultSet; public class TestPreparedStatement { /** * 使用preparedS...
JDBCPreparedStatement的优势与数据库连接详解
JDBC(Java Database Connectivity)是Java语言中用于连接和操作数据库的标准API,它允许Java应用程序与各种数据库系统进行通信。...同时,熟悉不同数据库系统的特性和工具,能更好地适应实际项目需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值